Académique Documents
Professionnel Documents
Culture Documents
264 Tema 17
Seguridad Web:
Encriptacin (clave pblica)
SSL/TLS
Firmas ciegas (SET)
Premisas de seguridad Web
Navegador-red-servidor son los 3 componentes clave.
Premisas del usuario (navegador):
El servidor remoto funciona segn la organizacin indicada.
Los documentos que devuelve el servidor no contienen virus, etc.
El servidor remoto no distribuir informacin privada del usuario,
como el uso que ste hace de la Web.
Premisas del webmaster (servidor):
El usuario no intentar asaltar un sitio web ni alterar sus contenidos.
El usuario no intentar acceder a documentos para los que no
tenga permiso de acceso.
El usuario no intentar hacer caer el servidor ni denegar a otros el
servicio.
Si el usuario se ha identificado, es quien dice ser.
Premisas de red (usuario y webmaster):
La red est libre de escuchas indiscretas de terceros.
La red entrega la informacin intacta, no manipulada por
terceras personas.
Riesgos para los clientes
Contenidos activos: applets, scripts, controles ActiveX y plug-ins.
Los navegadores descargan y ejecutan programas sin previo aviso:
El usuario a menudo no puede comprobar la presencia de virus antes de usarlos.
Algunos contenidos que en principio son incuos, como los archivos
de Word, pueden poner en marcha un virus.
Algunos applets maliciosos: en su mayora son applets "molestos",
salvo los que envan por correo informacin privada.
Prdida de privacidad:
Logs del sitio del servidor Web: direccin IP, documento recuperado,
fecha/hora, URL anterior, etc.
Cookies: se ha abusado de ellas por motivos de marketing con el
fin de hacer un seguimiento de los hbitos del usuario.
Grupos de noticias: utilizados para elaborar listas de direcciones
de correo electrnico o para enviar spam.
Correo electrnico oculto con informacin privada. Hay varios
ejemplos recientes:
Microsoft Outlook ha sido atacado por email en repetidas ocasiones.
Riesgos para el servidor
Hackeo Web:
Asalto a un sitio y modificacin del mismo.
Cientos de casos, entre ellos la NASA, la CIA, la USAF, etc.
Aprovechamiento de agujeros en el correo y el sistema
operativo, configuracin deficiente, etc.
Denegacin de servicio:
Ataques que hacen que el sistema emplee gran cantidad de
recursos como respuesta.
Riesgos para la red
Clave Clave
Texto plano Texto cifrado Texto plano
pblica privada